인터넷 기반의 이커머스와 금융서비스, 그리고 업무 환경은 이제 자연스러운 일상이 됐다. 사람이 숨을 쉴 때 필요한 공기 처럼 '없어서는 안되지만 눈에 보이지 않는' 존재가 돼버린 것이다. 약간의 인터넷 사용료를 지불하면 유용한 정보를 검색하고, 생활에 필요한 서비스를 편리하게 이용할 수 있다. 다만 가끔 생각지 못한 대가를 지불해야 할 때가 있는데, 바로 개인정보 유출 피해다.
2000년대 초중반 국내 인터넷 확산기나 2000년대 후반 스마트폰 대중화의 물꼬가 시작된 시점에 대형 개인정보유출 사례가 나오면 엄청난 사회 이슈로 주목을 받았다. 개인정보 유출로 인한 금전적인 피해로 이어지기도 했고, 개인의 정보를 다양한 범죄에 악용하는 조직에 대한 두려움이 더 크게 다가왔던 시기였다.
가입자/회원이 곧 비즈니스의 근간이기 때문에 인터넷 서비스 회사는 가입자 이탈을 막기 위해서라도 보안 강화에 나섰다. 정부 또한 국민적인 피해를 막기 위한 각종 규제를 내놓았다. 그리고 최근 마이데이터 사업 추진과 함께 개인정보 보호에 대한 중요성이 더욱 부각됐고, 앞으로 금융 및 헬스케어 등 개인정보 기반의 서비스가 미래먹거리로 떠오르면서 개인정보보호 강화 니즈가 커지고 있다.
그러나 2021년 현재도 개인정보 유출 피해 사례는 하루가 다르게 발생하고 있다. 코로나19 팬데믹 사태로 인한 비대면 문화 정착으로, 사람들은 인터넷에 접속해 있는 시간이 늘어났다. OO페이, 간편결제, 뱅킹 등 금융서비스와 이커머스과 같은 개인정보가 필요한 서비스도 증가했다. 이는 개인정보 탈취를 통해 해커 조직들이 편취할 수 있는 '건수'도 늘어났다는 뜻이기도 하다.
그러나 기업들이 아무리 보안 강화를 했어도, 해커의 공격이나 서비스 개선 과정에서 돌발적인 오류로 인한 데이터 노출 처럼 개인정보 유출 위협을 완벽하게 막지 못하는 것이 현실이다. 그렇기 때문에 개인정보유출 위협을 100퍼센트 막지는 못해도, 이를 상쇄할 수 있는 근본적인 대책 마련이 필요하다.
이에 대해 보안기업 파수의 이주영 부장은 "개인정보보호를 완벽하게 이행하기 위해서는 개인정보의 위치와 양, 중요도 등을 파악해야 한다"라고 강조한다. 이는 인터넷 서비스 기업들이 가지고 있는 데이터가 클라우드, 서버, PC, USB 등의 저장소 등 다양한 위치에 존재하기 때문이다. 관리자가 미처 인식하지 못한 위치에 개인정보 등 민감한 데이터가 존재할 수 있어 최우선적인 관리 포인트를 여기에 둬야 한다는 뜻이다.
또한 해킹이나 '휴먼 에러' 등 의도치 않은 사고로 데이터가 노출됐을 경우를 대비해, 안전장치를 미리 마련해 둘 필요가 있다. 바로 '데이터 암호화'다. 데이터를 탈취한 해커 조직이 해당 데이터를 활용하지 못하게 방지책을 마련하는 것이다.
이주영 부장은 "데이터 암호화는 위치에 상관 없이 이뤄져야 한다. 해커가 탈취한 고객 데이터를 다크웹에 판매하려고 할 경우, 데이터 암호화가 실행돼 있다면 탈취한 파일 안의 데이터를 활용한 2차 피해가 불가능하다"라며, "이러한 원리는 데이터가 시스템 오류로 예상치 못한 곳에 공개되더라도 적용되기 때문에 기업 입장에서 안심할 수 있다"라고 설명했다.
이러한 개인정보 유출 방지책이 있음에도, 개인정보 유출은 지속적으로 발생하고 있다. 보안 시스템 적용에 금전적인 부담을 느끼는 중소기업이나, 시스템 개선 작업 등에서 작업자의 실수로 벌어지는 유출 등의 사건사고는 여전히 존재하기 때문이다.
그렇다면 개인정보가 유출됐을 경우, 해당 소비자들은 어떻게 대응해야 할지 그동안은 뾰족한 해결책이 없었다. 유출된 내 정보는 보이스피싱이나 문자피싱, 메시저피싱 등의 교묘한 위협으로 돌아오고 있으며, 적지 않은 피해가 벌어지고 있는 상황이다.
다행스럽게도 최근 개인정보보호위원회와 한국인터넷진흥원이 이 문제 해결을 위해 적극 나섰다. 16일 오전 10시부터 자신의 개인정보가 유출됐는지 확인할 수 있는 '털린 내 정보 찾기 서비스'(https://kidc.eprivacy.go.kr)를 오픈하기로 한 것이다.
이는 이용자가 평소 온라인상에서 사용하는 계정정보(아이디·패스워드)를 입력하면, 유출된 이력을 알려주는 서비스다.
개인정보위는 다크웹 등에서 불법 유통되는 2300만 건의 국내 계정정보, 그리고 구글에서 제공하는 비밀번호 진단 서비스(40억여 건) 등을 활용해 유출 여부를 확인할 수 있도록 구성했다고 설명했다.
해당 서비스 이용자가 조회를 통해 유출 이력을 확인했다면, 내 정보 찾기 서비스 내 '안전한 패스워드 선택 및 이용 안내' 메뉴에 따라 비밀번호를 간편하게 변경할 수 있다. 해당 사이트에서 '휴대전화 인증코드 적용' 등 2차 인증 서비스를 제공하는 경우, 이를 적용해 추가 피해를 예방할 수 있다.
더불어 'e프라이버시 클린서비스'(https://www.eprivacy.go.kr)를 이용해 사용하지 않는 웹사이트의 계정정보를 삭제 처리할 수 있다.
송상훈 개인정보위 조사조정국장은 "유관기관 간 협력을 통해 불법 유통되고 있는 '이메일, 전화번호 등'을 추가해 확인할 수 있는 범위를 확대하기 위한 노력을 지속해나가겠다"며 "국민에게 추가적인 피해가 발생하지 않도록 서비스를 적극 이용해달라"고 당부했다.
소셜댓글